ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДЕНО

приказ директора государственного

учреждения образования «Жодинский

центр коррекционно-развивающего обучения

и реабилитации»

от 02.02.2024 №6 _____

ПОЛИТИКА

государственного учреждения образования «Жодинский центр коррекционно-развивающего обучения и реабилитации» в отношении обработки персональных данных

ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика Государственного учреждения образования «Жодинский центр коррекционно-развивающего обучения и реабилитации» (далее – Оператор) в отношении обработки персональных данных (далее – Политика) описывает порядок и определяет меры по обеспечению защиты и безопасности персональных данных, подготовлена во исполнение требований Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

ГЛАВА 2

ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ

КОТОРЫХ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ

Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:

работников и бывших работников Оператора;

кандидатов на занятие вакантных должностей;

обучающихся и бывших обучающихся и их законных представителей;

посетителей;

пользователей информационных ресурсов, в том числе Интернет-ресурса;

лиц, предоставивших Оператору персональные данные при отправке обращений, путем заполнения анкет, в ходе проводимых Оператором мероприятий;

лиц, предоставивших персональные данные Оператору иным путем.

ГЛАВА 3 ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

И СПОСОБЫ ИХ ОБРАБОТКИ

Обработка персональных данных включает в себя:

сбор, систематизацию, хранение, изменение (уточнение, обновление), использование, распространение, предоставление, обезличивание, блокирование, удаление.

Обработка персональных данных Оператором осуществляется следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое);

смешанная обработка персональных данных.

Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.

Обработка персональных данных Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и обучающихся, а также иных субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.

Оператор не осуществляет передачу персональных данных третьим лицам, за исключением случаев, установленных законодательными актами.

Работники Оператора, имеющие доступ к персональным данным имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

Обработка персональных данных носит прозрачный характер.

Персональные данные, которые обрабатываются Оператором, хранятся в информационных ресурсах, собственником которых является Оператор.

Персональные данные хранятся не дольше, чем это необходимо для достижения целей, ради которых они собраны. При достижении целей обработки персональных данных Оператор прекращает их обработку и удаляет их.

ГЛАВА 4

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ

ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъекты персональных данных обязаны:

предоставлять Оператору достоверные сведения о себе;

в случае необходимости представлять Оператору документы, содержащие персональные данные в объеме, необходимом для цели их обработки;

информировать в установленные сроки Оператора об изменениях своих персональных данных.

Лицо, предоставившее Оператору неполные, устаревшие, недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несет ответственность в соответствии с законодательством Республики Беларусь.

Субъекты персональных данных имеют право:

на получение информации, касающейся обработки Оператором своих персональных данных;

требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными;

получить от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно;

требовать от Оператора бесплатного прекращения обработки своих данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;

обжаловать действия (бездействия) и решения Оператора, нарушающие его права при обработке персональных данных, в Национальном центре защиты персональных данных.

Для реализации указанных прав субъект персональных данных подает Оператору заявление в письменной форме либо в виде электронного документа. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления оператору в письменной форме.

Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную подпись субъекта персональных данных.

Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное лицо.

ГЛАВА 5

ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Внутренний контроль за соблюдением Оператором законодательства Республики Беларусь и локальных правовых актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом ответственным за обработку персональных данных Оператором.

Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов Оператором в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных возлагается приказом директора на заместителя директора по основной деятельности.

Если у субъекта возник вопрос по обработке Оператором персональных данных, субъект может направить лицу, ответственному за осуществление внутреннего контроля:

письменное обращение по адресу: 222164, Минская область, город Жодино, улица 40 лет Октября, дом 53 «А»;

электронное обращение путем заполнения специальной формы «Электронное обращение»).

УТВЕРЖДЕНО

 Приказ директора

государственного учреждения образования

«Жодинский центр коррекционно-развивающего

обучения и реабилитации»

_от 02.02.2024 № 6____

ПОЛОЖЕНИЕ

о порядке защиты информации в государственном учреждении образования «Жодинский центр коррекционно-развивающего обучения и реабилитации»

1. В настоящем Положении о порядке защиты информации (далее – Положение), разработанном в соответствии с пунктом 3 Плана по реализации в государственном учреждении образования «Жодинский центр коррекционно-развивающего обучения и реабилитации» (далее – учреждение образования, ЦКРОиР) Комплексного плана мероприятий, направленных на принятие эффективных мер по противодействию киберпреступлениям, профилактике их совершения устанавливается комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации, обрабатываемой в учреждении образования.
2. Для целей настоящего Положения термины и их определения применяются в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года № 455-З «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) и Законом Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» (Национальный реестр правовых актов Республики Беларусь, 2021 г., № 2/2819).
3. Действие настоящего Положения направлено на защиту общедоступной информации, информации о частной жизни и персональных данных обучающихся, их законных представителей, педагогических работников и иных работников учреждения образования, а также информации, составляющей служебную и коммерческую тайну учреждения образования.
4. За общее состояние, организацию и контроль работ по реализации комплекса мер по защите информации отвечает заместитель директора по основной деятельности, уполномоченный приказом директора ЦКРОиР.
5. Для недопущения неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий всеми  субъектами информационной среды ЦКРОиР должны выполняться мероприятия по защите объектов информационной среды (далее – ОИС) учреждения образования.
6. Под ОИС понимаются средства вычислительной техники (далее – СВТ), сетевое оборудование, системное и прикладное программное обеспечение, информационные ресурсы и системы учреждения образования.
7. Субъектами информационной среды учреждения образования являются педагогические работники, иные работники ЦКРОиР, обучающиеся и их законные представители (далее – пользователи).
8. Управление полномочиями доступа пользователей либо групп пользователей к ОИС осуществляется привилегированным пользователям (администратор) из числа работников учреждения образования, имеющих соответствующую профессиональную подготовку и (или) опыт работы.
9. Учреждение образования выступает в роли оператора персональных данных педагогических работников, иных работников учреждения образования, обучающихся и их законных представителей и осуществляет обработку персональных данных в соответствии с действующим законодательством.
10. Внутренний контроль за обработкой персональных данных выполняет ответственный за общее состояние, организацию и контроль работ по реализации комплекса мер по защите информации – заместитель директора по основной деятельности.
11. Для обеспечения защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных в ЦКРОиР:

работники ЦКРОиР, непосредственно осуществляющие обработку персональных данных, ознакамливаются с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, регламентом обработки персональных данных;

лица, осуществляющие внутренней контроль за обработкой персональных данных, проходят обучение в порядке, установленном законодательством;

устанавливается порядок доступа к персональным данным;

при передаче технических средств для проведения ремонта из этих технических средств изымаются все носители информации, содержащие персональные данные, либо должно быть произведено гарантированное уничтожение информации.

12. В целях недопущения уничтожения, модификации (изменения), блокирования правомерного доступа к общедоступной информации на интернет-сайте ЦКРОиР из числа работников учреждения образования назначаются лица, уполномоченные осуществлять администрирование и размещение информации на интернет-сайте, и устанавливается их персональная ответственность за использование интернет-сайта для целей, не предназначенных для выполнения служебных задач.
13. Для официальной переписки с вышестоящими государственными органами и (или) организациями используется система межведомственного оборота и электронная почта. В учреждении образования определяются технические средства, на которых выполняется работа по официальной переписке, из числа работников учреждения образования назначаются лица, уполномоченные осуществлять эту работу.
14. Требования настоящего Положения являются обязательными для исполнения всеми работниками ЦКРОиР.
15. Работники учреждения образования:

не имеют права разглашать, передавать другим лицам свои пароли от учетных записей для доступа к техническим средствам, информационным ресурсам и системам;

несут персональную ответственность за действия, совершенные под их учетными записями, за исключением случаев несанкционированного использования паролей.